继 Copy Fail 之后
近期,Linux 内核安全再次敲响警钟。
安全研究人员披露了一项新的本地权限提升(Local Privilege Escalation,LPE)漏洞——DirtyClone(CVE-2026-43503)。攻击者只需拥有普通用户权限,即可借助该漏洞获取系统 Root 权限。
更值得关注的是,这是短短六周内发现的第四个同类型 Linux 内核漏洞,
DirtyClone 是什么?
DirtyClone:一种 Linux 内核权限提升漏洞,它会在内存中静默重写可执行文件,且不会在磁盘上留下任何痕迹。
DirtyClone 是 JFrog Security Research 在审计 Linux Kernel 修复补丁时发现的新漏洞。
研究人员发现,虽然此前官方已经修复了 Dirty Frag 系列漏洞,但修复过程中仍遗漏了一条数据处理路径,导致攻击者依旧能够利用相同的底层漏洞原理,实现文件页缓存(Page Cache)的非法修改。
最终效果仍然是:
普通用户提升至 Root
修改只读文件映射内容
文件磁盘内容保持不变
文件完整性检测难以发现异常
这一攻击方式与著名的 Dirty Pipe、Copy Fail、Dirty Frag 十分类似,因此研究人员将其命名为 DirtyClone——可以理解为 Dirty Frag 的"复制版"。
此问题的严重性在于,它允许任何非特权本地用户 通过操纵Linux页面缓存来获得root权限(LPE)。这种攻击悄无声息,不会留下内核日志或审计痕迹,并且能够绕过常见的磁盘完整性监控工具。
攻击者将类似 /usr/bin/su 的特权二进制文件加载到内存中,并将这些页面嵌入到网络数据包中,然后强制内核通过其控制的环回 IPsec 隧道克隆该数据包。解密步骤会用攻击者选择的字节覆盖二进制文件的身份验证逻辑,下次运行 su 命令时即可获得 root 权限——而磁盘上的文件则保持不变。
该漏洞利用需要 CAP_NET_ADMIN 权限来配置 IPsec 环境。在 Debian 和 Fedora 系统中,任何本地用户都可以通过默认启用的非特权用户命名空间访问该权限。
攻击者首先创建一个新的网络命名空间:
报告继续指出:“这为命名空间内部提供了网络管理功能。虽然这些功能是命名空间化的,但页面缓存是在主机级别共享的,因此如果通过共享映射修改了基于文件的页面,则影响可能会传播到使用这些页面的其他进程。”
Ubuntu 24.04 及更高版本通过 AppArmor 限制命名空间的创建,从而阻止了默认的漏洞利用路径,但所有其他具有默认命名空间配置的发行版都暴露在外。
DirtyFrag 家族目前共有四个成员。Copy ( ) 于 4 月下旬出现。DirtyFrag ( 和 ) 于 5 月 7 日出现。Fragnesia 通过 skb_try_coalesce() 函数中的一个标志丢弃漏洞绕过了 DirtyFrag 补丁。